Фьючерсы
Доступ к сотням фьючерсов
TradFi
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Pre-IPOs
Откройте полный доступ к глобальным IPO акций
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Рекламные акции
AI
Gate AI
Ваш универсальный AI-ассистент для любых задач
Gate AI Bot
Используйте Gate AI прямо в вашем социальном приложении
GateClaw
Gate Синий Лобстер — готов к использованию
Gate for AI Agent
AI-инфраструктура: Gate MCP, Skills и CLI
Gate Skills Hub
Более 10 тыс навыков
От офиса до трейдинга: единая база навыков для эффективного использования ИИ
GateRouter
Умный выбор из более чем 40 моделей ИИ, без дополнительных затрат (0%)
SlowMist 23pds Уведомление: Lazarus Group выпустила новый набор инструментов для macOS, нацеленный на криптовалюты
Компания Mandiant 首席 специалист по кибербезопасности 23pds 22 апреля опубликовала предупреждение о том, что северокорейская хакерская группа Lazarus Group выпустила новый нативный набор инструментов вредоносного ПО для macOS «Mach-O Man», предназначенный специально для индустрии криптовалют и руководителей компаний с высокой ценностью.
Методы атаки и цели
Согласно аналитическому отчету Mauro Eldritch, в этот раз атака использует технику ClickFix: злоумышленники рассылают через Telegram (с использованием аккаунта контакта, который был скомпрометирован) ссылки, замаскированные под приглашения на легитимные встречи, чтобы направить цель на фальшивые веб-сайты, имитирующие Zoom, Microsoft Teams или Google Meet, а затем предлагают пользователям выполнить команды в терминале macOS, чтобы «устранить» проблему с подключением. Это позволяет злоумышленникам получить доступ к системе, не срабатывая на традиционные механизмы безопасности.
Данные, на которые нацелена атака, включают: учетные данные и Cookie, сохраненные в браузере, данные macOS Keychain, а также данные расширений браузеров, таких как Brave, Vivaldi, Opera, Chrome, Firefox и Safari. Украденные данные разглашаются через Telegram Bot API; в отчете отмечается, что злоумышленники раскрыли токен Telegram-бота (ошибка в OPSEC), что ослабило их ситуационную безопасность действий.
Основными жертвами являются разработчики, руководители и лица, принимающие решения, работающие в средах компаний с высокой ценностью, включая финтех и индустрию криптовалют, а также экосистемы, где macOS широко используется.
Основные компоненты набора инструментов Mach-O Man
Согласно техническому анализу Mauro Eldritch, набор инструментов состоит из следующих ключевых модулей:
teamsSDK.bin: первичный загрузчик, маскируется под Teams, Zoom, Google или системное приложение, выполняет базовое определение системной «отпечаточности» (fingerprint)
D1{случайная строка}.bin: анализатор системы, собирает имя хоста, тип CPU, сведения об операционной системе и список расширений браузера, после чего отправляет их на C2-сервер
minst2.bin: модуль постоянства, создает каталог маскировки «Antivirus Service» и LaunchAgent, чтобы гарантировать выполнение после каждого входа в систему
macrasv2: финальный похититель, собирает учетные данные браузера, Cookie и записи macOS Keychain, упаковывает их, затем разглашает через Telegram и самоуничтожается
Краткое резюме ключевых индикаторов компрометации (IOC)
Согласно IOC, опубликованным в отчете Mauro Eldritch:
Зловредный IP: 172[.]86[.]113[.]102 / 144[.]172[.]114[.]220
Зловредные домены: update-teams[.]live / livemicrosft[.]com
Ключевые файлы (частично): teamsSDK.bin、macrasv2、minst2.bin、localencode、D1YrHRTg.bin、D1yCPUyk.bin
Порты C2-коммуникаций: 8888 и 9999; в основном используются характерные строки User-Agent для клиента Go HTTP
Полные значения хешей и матрица ATT&CK см. в исходном исследовательском отчете Mauro Eldritch.
Часто задаваемые вопросы
На какие отрасли и цели ориентирован набор инструментов «Mach-O Man»?
Согласно предупреждению Mandiant 23pds и исследованию BCA LTD, «Mach-O Man» в первую очередь нацелен на отрасли финтеха и криптовалют, а также на среды компаний с высокой ценностью, где macOS широко используется; в особенности — на сегмент разработчиков, руководителей и лиц, принимающих решения.
Как злоумышленники побуждают пользователей macOS выполнять вредоносные команды?
Согласно анализу Mauro Eldritch, злоумышленники отправляют через Telegram ссылки, замаскированные под легитимные приглашения на встречи, направляя пользователей на поддельные веб-сайты, имитирующие Zoom, Teams или Google Meet, после чего предлагают выполнить команды в терминале macOS, чтобы «устранить» проблему с подключением, тем самым инициируя установку вредоносного ПО.
Как «Mach-O Man» реализует утечку данных?
Согласно техническому анализу Mauro Eldritch, финальный модуль macrasv2 собирает учетные данные браузера, Cookie и данные macOS Keychain, затем упаковывает их и разглашает через Telegram Bot API; одновременно злоумышленники используют скрипт самоуничтожения, чтобы очистить системные следы.